Deepfakes : pendant que le sensationnel fascine, le phishing s'industrialise

Kevin Pezaire
SoftwareOne

Si les deepfakes captent l'attention par leur aspect spectaculaire, la véritable menace pour les entreprises reste le phishing dopé à l'IA. La vraie riposte ? Sécuriser l'identité et les accès.

Clonage vocal, avatars vidéo, fausses prises de parole de dirigeants : les deepfakes alimentent un imaginaire spectaculaire autour de la cybermenace. L’intelligence artificielle générative semble ouvrir une ère où plus rien de visible ou d’audible ne serait fiable.

Pourtant, derrière l’effet médiatique, la réalité opérationnelle des entreprises reste plus pragmatique. L’IA n’a pas inventé la fraude, elle l’a industrialisée. 

Et si les deepfakes captent beaucoup l’attention, c'est pourtant ailleurs que l'IA générative fait le plus de dégâts  : en transformant le classique mail frauduleux en une véritable arme de destruction massive.

Deepfake : la fraude change d’outil, pas de logique

La fraude à l’identité et l'ingénierie sociale ne datent pas d’hier, et existaient bien avant l'avènement de l'IA générative. L’affaire dite « Le Drian » l’a parfaitement illustré : entre 2015 et 2017, des escrocs ont réussi à soutirer des millions d'euros en exploitant l’autorité d’un ministre, s'appuyant même sur un masque en silicone pour crédibiliser leur mise en scène. 

La mécanique reste identique : exploiter la confiance, créer un sentiment d’urgence, provoquer une décision rapide.

Ce qui change aujourd’hui tient à l’accessibilité et à l’échelle. Produire un faux message crédible ne requiert plus des compétences techniques avancées. Quelques échantillons audios suffisent à reproduire une voix, son timbre, et même ses tics de langage. Des outils grand public permettent de générer des messages personnalisés, cohérents, exempts de fautes et adaptés au contexte professionnel de la cible.

L’IA générative ne transforme pas la logique des attaques. Elle en réduit le coût et en multiplie la portée.

Le vrai bouleversement : le phishing dopé à l’IA

Si la prouesse technique du deepfake impressionne, elle ne constitue pas la menace la plus répandue dans les entreprises.

L’email reste, de loin, le premier vecteur d’attaque. Et c’est précisément là que l’IA générative change profondément la donne.

Le Microsoft Digital Defense Report (MDDR) 2025 met en lumière cette évolution : les campagnes de phishing automatisées par IA atteignent des taux de clic pouvant dépasser 54 %, contre environ 12 % pour des campagnes traditionnelles. L’efficacité est multipliée par plus de quatre. Le rapport souligne également que l’automatisation peut augmenter la rentabilité des attaques jusqu’à cinquante fois lorsqu’elles ciblent des groupes à grande échelle.

Pour un attaquant, l’équation est simple. Concevoir une vidéo truquée crédible exige du temps, une diffusion maîtrisée et une cible spécifique. Générer des milliers d’emails personnalisés demande peu d’effort, s’automatise facilement et offre un retour sur investissement rapide.

Même si le deepfake peut s’avérer redoutablement efficace pour cibler une personne précise, il demeure un outil d’attaque ciblée. Le phishing, lui, combine désormais personnalisation et volume. Grâce à l’IA, un attaquant peut adapter son message à chaque destinataire tout en l’envoyant à des milliers de collaborateurs en quelques minutes.

Tant que le mail offrira un tel ratio entre simplicité et rentabilité, il restera la priorité des cybercriminels.

La course technologique est perdue d’avance

Face aux deepfakes, la réponse la plus intuitive serait de vouloir tout détecter, tout signer, tout marquer. Watermarks, métadonnées, outils de détection automatisée : l’arsenal technologique progresse. Mais chaque mécanisme de protection appelle son outil de contournement. La course entre falsification et détection ne s’arrêtera pas, et les organisations risquent d’investir massivement dans une bataille toujours en retard d’un coup.

La réponse se situe ailleurs.

D’abord dans la vigilance. Le signal faible le plus constant reste l’urgence. Une demande inhabituelle, formulée dans un canal de communication non habituel (par exemple via WhatsApp plutôt que par les outils internes de l’entreprise) doit déclencher un réflexe simple : vérifier par un autre canal. Ce principe, appliqué systématiquement aux opérations sensibles, bloque encore une grande partie des fraudes.

Ensuite dans la formation. Les outils évoluent, mais les ressorts psychologiques demeurent : pression, autorité, émotion. Former les collaborateurs à reconnaître ces mécanismes ne crée pas un climat de suspicion, mais une culture du doute raisonnable.

Enfin dans la protection des identités. Une fraude devient réellement critique lorsqu’un compte légitime est compromis. Authentification multifacteur, contrôle des accès et surveillance des connexions inhabituelles réduisent fortement l’impact d’une attaque, qu’elle passe par un email classique ou par un deepfake sophistiqué.

L’IA continuera d’évoluer. Les faussaires aussi. La différence se jouera dans la capacité des entreprises à renforcer leurs réflexes et à sécuriser leurs identités plutôt qu’à courir après chaque nouvelle forme de falsification.